Finti codici CAPTCHA, la nuova trappola che aggira le difese aziendali: come difendersi

I codici CAPTCHA compaiono ogni giorno sui dispositivi di lavoro: quando si accede a un gestionale, si compila un form, si scarica un documento. Sono percepiti come controlli di sicurezza affidabili. Ed è esattamente per questo che i criminali informatici li stanno usando come vettore d’attacco.

La tecnica si chiama ClickFix. Consiste nel costruire pagine di verifica false – graficamente identiche a quelle reali – per indurre i dipendenti a eseguire comandi che installano malware sui dispositivi aziendali, sia Windows sia MacOS.

Non è un fenomeno di nicchia. Secondo il report del CERT-AGID sulle campagne malevole analizzate nel corso dell’anno, in Italia nel 2025 sono state censite circa 70 campagne basate su questa tecnica, con una crescita costante rispetto all’anno precedente.

Codici Captcha: le 5 fasi del processo di compromissione

Un codice CAPTCHA autentico serve a distinguere un essere umano da un bot. Si risolve spuntando una casella, selezionando immagini o digitando del testo. Opera esclusivamente all’interno del browser: non richiede mai di aprire strumenti di sistema, eseguire comandi o incollare istruzioni sul dispositivo.

I falsi codici CAPTCHA seguono una logica diversa:

1. atterraggio su una pagina compromessa — tramite un link ricevuto via mail, una pubblicità malevola o un risultato di ricerca manipolato
2. compare una schermata di verifica che imita fedelmente interfacce note come Cloudflare o Google reCAPTCHA
3. la pagina chiede di completare dei “passaggi aggiuntivi” — ad esempio premere i tasti Windows + R, poi Ctrl + V, poi Invio
4. quello che viene incollato è un comando dannoso, copiato in modo automatico negli appunti del dispositivo dalla pagina stessa nel momento in cui l’utente ha interagito con essa
5. il malware si installa senza che sia stato aperto alcun allegato o scaricato alcun file

Questo tipo di attacco segna un cambio di paradigma: gli attaccanti non cercano più vulnerabilità tecniche sofisticate, ma interazioni considerate normali dagli utenti.

Perché è così difficile da intercettare

Ci sono almeno quattro ragioni strutturali che rendono questo tipo di attacco particolarmente insidioso per le organizzazioni.

Le pagine false sono graficamente impeccabili

Stessi loghi, stesso layout, stesse animazioni. Senza esaminare con attenzione l’URL nella barra del browser, la distinzione è praticamente impossibile a occhio nudo.

L’AI ha abbassato drasticamente la soglia tecnica per costruirle

Fino a qualche anno fa creare una pagina di phishing convincente richiedeva competenze specifiche. Oggi le piattaforme di sviluppo basate su Intelligenza Artificiale permettono di replicare queste interfacce in pochi minuti, senza scrivere una riga di codice. Il risultato è un volume di campagne in rapida crescita.

I sistemi di sicurezza tradizionali faticano a rilevarle

L’attacco non genera download automatici né esecuzioni di file sospetti. Il malware viene avviato dall’utente stesso, seguendo istruzioni che appaiono legittime. Questo schema — definito dagli analisti “user-assisted execution” — è progettato per passare inosservato agli strumenti di protezione endpoint convenzionali.

Arrivano anche da fonti apparentemente affidabili

Non si tratta sempre di siti sconosciuti. Alcune campagne sfruttano siti legittimi compromessi oppure domini affidabili riacquistati dopo la scadenza, costruendo pagine false all’interno di ambienti che appaiono credibili agli utenti.

Codici CAPTCHA mlevoli in azione: le conseguenze per l’azienda

Quando si esegue il comando, le conseguenze possono essere immediate e gravi:

• furto di credenziali aziendali: le password salvate nel browser vengono esfiltrate e inviate ai server degli attaccanti, aprendo l’accesso a gestionali, Cloud e sistemi interni;
• compromissione della rete: i dispositivi infetti diventano un punto d’ingresso per muoversi lateralmente all’interno dell’infrastruttura aziendale;
• installazione di ransomware: i sistemi possono essere cifrati e resi inutilizzabili fino al pagamento di un riscatto;
• accesso remoto non autorizzato: gli attaccanti ottengono il controllo del dispositivo e, attraverso di esso, delle risorse a cui è connesso;
• furto di dati sensibili: informazioni su clienti, contratti, brevetti e dati finanziari possono essere sottratti e rivenduti o usati per estorsioni.

Il danno non si misura solo in termini economici diretti. Una violazione può compromettere la continuità operativa, la reputazione e i rapporti con i clienti.

3 segnali che indicano un codice CAPTCHA falso

Formare il personale a riconoscere questi indicatori è la prima linea di difesa:

1. la pagina genera urgenza artificiale: countdown, avvisi lampeggianti, messaggi come “verifica richiesta entro 60 secondi” sono leve psicologiche per indurre ad agire senza riflettere;
2. la verifica compare senza un’azione specifica che la giustifichi: una schermata di sicurezza che appare all’improvviso durante una navigazione ordinaria è un segnale da non ignorare;
3. i passaggi richiesti non corrispondono a nessuna procedura aziendale nota: qualsiasi istruzione che porti ad aprire strumenti di sistema o eseguire operazioni sul terminale è fuori dal perimetro di qualsiasi verifica legittima.
4. il CAPTCHA richiede operazioni sul dispositivo: un sistema di verifica legittimo non chiede mai di aprire Terminale, Prompt dei comandi o altri strumenti di sistema, né di eseguire combinazioni di tasti per lanciare istruzioni sul computer.

Come ridurre il rischio: le misure da adottare

La protezione efficace richiede un approccio su più livelli.

Formazione del personale

La consapevolezza dei dipendenti rimane la misura più efficace. Sessioni regolari di aggiornamento sulle tecniche di attacco in uso – inclusa questa – riducono concretamente la probabilità che il vettore umano venga sfruttato con successo.

Configurazione dei sistemi

Le misure di protezione dei sistemi comprendono azioni mirate a circoscrivere l’esecuzione di comandi non autorizzati:

• limitare l’esecuzione di PowerShell avviata dalla finestra di dialogo Esegui sui dispositivi aziendali
• monitorare le attività anomale di processo, in particolare quelle che coinvolgono strumenti di sistema come mshta, wscript e rundll32
• mantenere aggiornati sistema operativo, browser e soluzioni di protezione endpoint

Gestione degli incidenti

Definire procedure chiare per segnalare comportamenti sospetti. Un dipendente che ha interagito con una pagina anomala deve sapere immediatamente a chi rivolgersi, senza timore di conseguenze. La velocità di risposta riduce significativamente l’impatto di una compromissione.

Come comportarsi in caso di dubbio

Oltre alle misure preventive, è importante che i dipendenti sappiano come reagire quando incontrano una pagina sospetta:

• interrompere immediatamente la procedura;
• non eseguire istruzioni suggerite dalla pagina;
• non aprire strumenti di sistema come Terminale o Prompt dei comandi;
• chiudere il sito senza ulteriori interazioni;
• segnalare tempestivamente l’episodio al reparto IT o cybersecurity aziendale.

La rapidità della segnalazione può limitare significativamente l’impatto di un’eventuale compromissione.

Un fenomeno in evoluzione rapida

Le tattiche utilizzate si aggiornano continuamente. Le varianti più recenti includono video tutorial incorporati direttamente nelle pagine false, per guidare la vittima passo dopo passo nell’installazione del malware, abbassando ulteriormente la soglia di resistenza.

Il meccanismo di fondo, però, non cambia: puntare sulla routine e sulla fiducia verso strumenti usati ogni giorno.

I falsi codici CAPTCHA dimostrano quanto la cybersecurity moderna dipenda sempre meno dalla tecnologia e sempre più dai comportamenti quotidiani. La prudenza e formazione delle persone è una delle armi più potenti per contrastare il cybercrime e proteggere il tuo business.